Adatvédelem

Ez az adatvédelmi szöveg elmagyarázza, hogy a Contrima hogyan kezeli a személyes adatokat a fotós számlák, a résztvevői és hozzáférési folyamatok, a galériák, a kommunikáció, a dokumentáció, valamint az ajándékozási, csere-, eladási és licencfolyamatok során, beleértve a kapcsolódó fizetési és kifizetési folyamatokat is. Áttekintést nyújt a célokról, folyamatokról, védelmi intézkedésekről és az érintettek jogairól. Az angol nyelvű változat a mérvadó; a fordítások kizárólag a könnyebb érthetőség érdekében szerepelnek.

Verzió v3 · Közzétéve 04.05.2026, 09:12 · Hash f00fe99c5db7

Adatvédelem

1. Nyelv és fordítások

Ez az adatvédelmi irányelv több nyelven is elérhető. Az angol változat az irányadó. A fordítások kizárólag az érthetőség kedvéért készültek. Az érintett szokásos tartózkodási helye szerinti jogszabályok által biztosított kötelező jogok változatlanok maradnak.

2. Adatkezelő

Az Általános adatvédelmi rendelet (GDPR) értelmében az adatkezelő:
Mark Reinhardt (egyéni vállalkozó) A
„Contrima” a Mark Reinhardt által nyújtott
szolgáltatás. E-mail: info@contrima.com

3. Áttekintés: Milyen adatokat kezelünk és miért

Személyes adatokat kezelünk a Contrima technikai biztosítása, a szolgáltatás biztonságának garantálása és továbbfejlesztése, valamint a fotósokkal, galériákkal, jóváhagyásokkal, ajándékokkal, cserékkel, értékesítésekkel, licenceléssel, vásárlásokkal, előfizetésekkel, eladókkal és fizetésekkel kapcsolatos folyamatok végrehajtása és dokumentálása céljából.

Ez különösen magában foglalja a weboldal üzemeltetéséből származó adatokat, a felhasználói fiókokból és a fotós profilokból származó adatokat, a QR- és beléptető rendszerekből, a igénylési és galériával kapcsolatos folyamatokból származó adatokat, az előnézeti, közzétételi, jóváhagyási, hozzájárulási, licencelési és vásárlási eljárásokból származó adatokat, a kommunikációból, valamint a számlázásból, a fizetésfeldolgozásból, az eladók bevonásából, az ellenőrzésből, a kifizetésekből, az archiválásból és a nyilvántartásból származó adatokat.

A személyes adatokat különösen a következő jogalapok alapján kezeljük:

GDPR 6. cikk (1) bekezdés b) pont (szerződés / szerződéskötést megelőző intézkedések),
GDPR 6. cikk (1) bekezdés c) pontja (jogi kötelezettség),
GDPR 6. cikk (1) bekezdés f) pontja (jogszerű érdekek, pl. biztonságos és stabil szolgáltatásnyújtás, visszaélések és csalások felderítése, nyomon követhetőség, jogi védelem, archiválás és megbízható fizetésfeldolgozás),
GDPR 6. cikk (1) bekezdés a) pont (hozzájárulás, amennyiben az egyes esetekben szükséges).

Amennyiben az adatkezelés hozzájáruláson alapul, Ön bármikor visszavonhatja hozzájárulását a jövőre nézve.

A Contrima bizonyos adatokat saját jogon, adatkezelőként dolgoz fel, különösen a platform üzemeltetése, a biztonság, a kommunikáció, a számlázás, az eladói/kifizetési folyamatok, a dokumentáció, az ellenőrzés és az archiválás céljából. Amennyiben a Contrima egyes funkciókat az adott fotós nevében lát el, az adatkezelés minden esetben a törvény által előírt keretek között történik.

4. Tárhely- és tárolási infrastruktúra (AWS, Írország régió)

A Contrima az AWS Írország (EU) régióban működik. A weboldalra való belépéskor vagy a platform használata során keletkező adatokat a tárhelyszolgáltatónk rendszerein dolgozzuk fel.

Tárhelyszolgáltató (adatfeldolgozó):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg („AWS”)

Képadatok, előnézeti fájlok, galériatartalmak, próbanyomatok és archívumok tárolásához az AWS infrastruktúráján belül különböző tárolási és archív tárolási osztályok használhatók, beleértve a nem nyilvános archív tárolási osztályokat is, mint például az AWS S3 Glacier Deep Archive.

5. Hozzáférési adatok / szerver naplófájlok

A weboldal vagy a platform minden egyes megnyitásakor a webszerver automatikusan feldolgozza az úgynevezett szerver naplófájlokban található információkat. Ez különösen a következőket tartalmazhatja:

IP-cím (vagy egy technikailag azzal egyenértékű azonosító),
a kérés dátuma és időpontja,
a megnyitott oldal/fájl (URL/útvonal),
hivatkozó URL,
böngésző típusa/verziója és operációs rendszer,
állapotkódok/hibajelentések,
átvitt adatmennyiség.

Az adatkezelés célja a weboldal és a platform műszaki biztosítása, stabilitása és biztonsága (pl. hibaanalízis, támadások elleni védelem, visszaélések felderítése és a biztonsággal kapcsolatos hozzáférések ellenőrzése). A jogalap a GDPR 6. cikke (1) bekezdésének f) pontja.

A naplófájlokat csak a megjelölt célokhoz szükséges ideig tároljuk, majd töröljük vagy anonimizáljuk, feltéve, hogy bizonyítási célokból (pl. biztonsági incidensek esetén) nincs szükség további megőrzésre.

6. Titkosítás (TLS/SSL)

Biztonsági okokból átviteli titkosítást (TLS/SSL) alkalmazunk az átvitt tartalom lehető legjobb védelmének biztosítása érdekében. Felhívjuk azonban figyelmét, hogy az interneten történő adatátvitel továbbra is biztonsági sebezhetőségeknek lehet kitéve.

7. Cookie-k és hasonló technológiák

Weboldalunk és platformunk cookie-kat vagy hasonló technológiákat használhat. Különbséget teszünk a következők között:

technikailag szükséges cookie-k vagy hasonló mechanizmusok (pl. munkamenet-cookie-k a bejelentkezéshez, nyelvhez, navigációhoz, biztonsághoz és tokenekhez),
Opcionális cookie-k/eszközök, amelyeket csak az Ön hozzájárulásával használunk, amennyiben szükséges.

A műszakilag szükséges cookie-k a weboldal és a platform működéséhez szükségesek. Ezek végberendezéseken történő tárolásának/olvasásának jogalapja a TDDDG 25. § (2) bekezdésének 2. pontja; a személyes adatok további feldolgozása a GDPR 6. cikk (1) bekezdésének f) pontja vagy a GDPR 6. cikk (1) bekezdésének b) pontja alapján történik, ha a funkció szükséges egy szerződés teljesítéséhez vagy egy konkrét munkafolyamat végrehajtásához.

Amennyiben a jövőben elemzési, marketing vagy egyéb, hozzájárulást igénylő eszközöket használunk, módosítjuk ezt az adatvédelmi nyilatkozatot, és – amennyiben szükséges – előzetesen beszerzünk hozzájárulást.

8. Felhasználói fiók, fotós profil és eladói fiók

Amennyiben lehetőséget kínálunk felhasználói fiók létrehozására vagy bejelentkezésre, a célhoz szükséges adatokat (pl. e-mail cím, bejelentkezési adatok, technikai munkamenetadatok, nyelvi beállítások, időzóna, profiladatok és biztonsági információk) feldolgozzuk, hogy biztosítsuk a felhasználói fiókot, lehetővé tegyük a bejelentkezést, kezeljük a profilt és garantáljuk a rendszer biztonságát.

Fotós profilok esetében további profil-, portfólió-, bemutató-, számlázási, eladói, adó-, előfizetési, tárolási és árképzési adatok is feldolgozásra kerülhetnek, amennyiben ezek a funkciók rendelkezésre állnak vagy aktiválva vannak.

A jogalap általában a GDPR 6. cikke (1) bekezdésének b) pontja, valamint a GDPR 6. cikke (1) bekezdésének f) pontja (biztonsági érdekek, visszaélések megelőzése, rendszerstabilitás).

Megjegyzés: A jelszavakat nem egyszerű szövegként tároljuk, hanem általában hash-értékként (technikai biztonsági eljárás).

9. A fényképezett személyekkel, címzettekkel és egyéb érintettekkel kapcsolatos adatok

A Contrima feldolgozza a fényképezett személyek,

Az ilyen adatok közvetlenül az érintettől származhatnak, (pl. amikor megnyit egy hozzáférési pontot, megad egy e-mail címet, nyelvet választ, nyilatkozatot tesz vagy vásárol), vagy közvetve juthatnak el hozzánk a fotós vagy más érintett felek révén; (pl. képfájlok feltöltése, megbízási adatok, elérhetőségek, QR-kártyák, galéria-hivatkozások vagy esetinformációk révén).

Az esettől függően különösen a következő adatokat dolgozzuk fel: képfájlok, megbízási és ügyinformációk, elérhetőségek, nyelvi és eszközkontextusok, állapotadatok, nyilatkozati és szerződési adatok, valamint ellenőrzési és auditinformációk.

Kiskorúak és képviselők esetében a szerepkörre vonatkozó részletek, a meghatalmazás és a képviselet megerősítései, a kiskorú és a meghatalmazó felnőtt közötti megbízások, időbélyegek, kommunikációs adatok, ellenőrzési adatok, valamint a vásárlásra, fizetésre, aktiválásra vagy szállításra vonatkozó állapotinformációk is feldolgozásra kerülhetnek, amennyiben ez az adott munkafolyamat szempontjából szükséges.

Amennyiben a személyes adatokat nem közvetlenül az érintettől gyűjtjük, a GDPR 14. cikke szerinti tájékoztatási kötelezettségeket a törvényben előírt mértékben teljesítjük. A fényképezés és az első feltöltés jogi megengedhetősége az egyes esetek konkrét körülményeitől és a fényképész felelősségétől függ.

10. QR-kódok, hozzáférési rendszer, igénylés és személyes hozzáférési linkek

A Contrima QR-kódokat, nyilvános hozzáférési kódokat, személyes hozzáférési linkeket, hozzáférési tokeneket, nyelvi beállításokat és hasonló hozzáférési rendszereket biztosíthat, hogy a fényképezett személyek, címzettek, vásárlók vagy más érintett felek hozzáférhessenek a résztvevői oldalakhoz, galériákhoz, előnézetekhez, jóváhagyási, hozzájárulási vagy vásárlási folyamatokhoz.

Ennek során különösen nyilvános vagy személyes kódokat, tokenértékeket, preferált nyelvet, időbélyegeket, igénylési státuszt, újraküldési eseményeket, munkamenet- vagy böngészőjelölőket, biztonsági információkat és a vonatkozó folyamatban megadott e-mail címet dolgozunk fel.

Amennyiben kiskorúak személyes hozzáférést vagy igénylési, engedélyezési, licencelési vagy vásárlási folyamatot használnak, a kiskorú saját részvétele és a szülő, gondviselő vagy más felhatalmazott felnőtt által megadott szükséges engedély külön dokumentálható.

Ez az adatkezelés a hozzáférés biztonságos biztosítását, egy konkrét eset hozzárendelését, a visszaélések megelőzését, személyre szabott linkek kézbesítését, a nyelvnek megfelelő megjelenítés biztosítását, valamint a vonatkozó munkafolyamat technikai és szervezési vonatkozásainak végrehajtását szolgálja. A jogalap a GDPR 6. cikk (1) bekezdés b) pontja és a GDPR 6. cikk (1) bekezdés f) pontja.

Semleges ismételt megtekintések esetén az elérhetőségi adatokat elrejtett formában jeleníthetjük meg, és biztonsági okokból nem adhatjuk meg újra a közvetlen hozzáférést.

11. Galériák, előnézetek, publikációk és megállapodások

A galériák és a licencelés keretében különösen az alábbi információkat dolgozzuk fel: esetek, galériák, résztvevői megbízások, képváltozatok, előnézetek, vízjelek, publikációs szintek, aktiválások, vásárlás, jóváhagyás, engedélyezés és hozzájárulás státuszai, valamint az adott esethez kiválasztott csomagok vagy ajánlatok.

Dokumentációs és ellenőrzési célokból a következőket is naplózhatjuk: az alkalmazandó csomag verzióját, a megjelenített szöveg verzióját, a nyelvet, az időbélyeget, a használt e-mail címet, a portál vagy hozzáférési token kontextusát, valamint egyéb technikailag szükséges ellenőrzési adatokat. PDF vagy hasonló megállapodási és ellenőrzési dokumentumok készíthetők, tárolhatók és a résztvevők rendelkezésére bocsáthatók.

Ez az adatkezelés az adott eset kezelésére, A jogalap, az esettől függően, a GDPR 6. cikk (1) bekezdésének b) pontja, a GDPR 6. cikk (1) bekezdésének f) pontja, a GDPR 6. cikk (1) bekezdésének c) pontja, valamint szükség esetén az egyes esetekben a GDPR 6. cikk (1) bekezdésének a) pontja.

12. Kapcsolatfelvétel

Ha e-mailben lép kapcsolatba velünk, az Ön által megadott adatokat (pl. név, e-mail cím, az üzenet tartalma) feldolgozzuk, hogy megválaszolhassuk kérdését.

A jogalap a GDPR 6. cikke (1) bekezdésének b) pontja; (amennyiben ez (elő)szerződéses kommunikációt érint) vagy a GDPR 6. cikke (1) bekezdésének f) pontja; (általános megkeresések; a hatékony kommunikációhoz fűződő jogos érdek).

Kapcsolatfelvételi űrlap: Amennyiben kapcsolatfelvételi űrlapot biztosítunk, az ott gyűjtött adatokat kizárólag a megkeresés feldolgozása céljából dolgozzuk fel. Jelen adatvédelmi nyilatkozatot szükség szerint frissítjük, pl. amennyiben további szolgáltatásokat, például spamszűrést vezetünk be.

13. Hírlevél

Amennyiben a jövőben hírlevelet kínálunk, módosítjuk ezt az adatvédelmi nyilatkozatot, és különösen átlátható módon közzétesszük a levelezési szolgáltatót, a kettős opt-in eljárást, az esetleges teljesítménymutatókat, valamint a leiratkozási lehetőségeket.

14. E-mailek küldése az AWS SES segítségével

Rendszer- és tranzakciós e-mailek küldéséhez az Amazon Simple Email Service (AWS SES) szolgáltatást használjuk; (pl. visszaigazolások, személyes hozzáférési linkek, üzenetek újraküldése, galéria- vagy időpont-értesítések, vásárlási vagy fizetési információk, számla- vagy eladó/kifizetési értesítések); az Amazon Simple Email Service (AWS SES) szolgáltatást használjuk.

Különösen az e-mail címet, adott esetben a nevet, a nyelvi kontextust és az e-mail technikai metaadatait (pl. kézbesítési információk) dolgozzuk fel.

A jogalap a GDPR 6. cikke (1) bekezdésének b) pontja, a GDPR 6. cikke (1) bekezdésének c) pontja, és/vagy a GDPR 6. cikke (1) bekezdésének f) pontja.

15. Fizetések, előfizetések, Stripe és Stripe Connect

Fizetős szolgáltatások, előfizetések, tárhelycsomagok, kép- vagy licencvásárlások, eladói fiókok vagy kifizetési funkciók igénybevétele esetén feldolgozzuk az ehhez szükséges számlázási, tranzakciós és ellenőrzési adatokat.

Ez különösen a következőket foglalhatja magában:

név, cím, e-mail cím és számlázási adatok,
megvásárolt vagy lefoglalt szolgáltatások, összegek, pénznemek és fizetési állapot,
számlázási, visszatérítési, vitás ügyek, visszaterhelési és kifizetési adatok,
valamint eladói vagy kifizetési funkciók esetén további vállalati, jogi forma, adó-, banki és ellenőrzési adatok, valamint szükség esetén a meghatalmazott képviselők vagy tényleges tulajdonosok adatai.

A fizetésfeldolgozás, az előfizetések, az eladók bevonása és a kifizetési funkciókhoz elsősorban a Stripe és a Stripe Connect szolgáltatásokat használjuk. Ha fizetési szolgáltatásokkal kapcsolatban személyes adatokat ad meg, a Stripe megkapja ezeket az adatokat, és a Stripe adatvédelmi irányelveinek megfelelően feldolgozza azokat.

Ez az adatkezelés a fizetésfeldolgozás, a szerződés teljesítése, a számlázás, a jogi kötelezettségek teljesítése, a csalás és visszaélés megelőzése, az eladók ellenőrzése, valamint a kifizetések végrehajtása céljából történik. A jogalap a GDPR 6. cikke (1) bekezdésének b) pontja, a GDPR 6. cikke (1) bekezdésének c) pontja, a GDPR 6. cikke (1) bekezdésének f) pontja, valamint szükség esetén a GDPR 6. cikke (1) bekezdésének a) pontja.

Kiskorúak által kezdeményezett vagy kiskorúakat érintő vásárlások vagy fizetési folyamatok esetén a fizető, jóváhagyó vagy meghatalmazott felnőttre vonatkozó további információk, valamint a jóváhagyással, meghatalmazással, visszatérítéssel vagy visszaterheléssel kapcsolatos állapot- és ellenőrzési adatok is feldolgozásra kerülhetnek.

Digitális képek vagy digitális használati jogok azonnali rendelkezésre bocsátása esetén a szolgáltatás azonnali megkezdésére, az elállási jog lejártára, a képviselői jóváhagyásra, valamint a kapcsolódó időpontokra, szövegváltozatokra, nyelvi változatokra, műszaki bizonyítékokra és ellenőrzési információkra vonatkozó visszaigazolások is feldolgozásra kerülhetnek.

16. Címzettek / Adatfeldolgozók / Független adatkezelők

Olyan szolgáltatókat vonunk be, akik adatokat dolgoznak fel a nevünkben (adatfeldolgozás a GDPR 28. cikke szerint), valamint adatokat továbbítunk olyan szerveknek, amelyek a vonatkozó kontextusban független adatkezelőként járhatnak el.

Ezek közé tartoznak különösen:

Amazon Web Services EMEA SARL – tárhely-, tárolási és infrastruktúra-szolgáltatások,
Amazon Web Services (AWS SES) – e-mailek küldése,
Stripe / Stripe Connect – fizetésfeldolgozás, eladók regisztrációja, ellenőrzés és kifizetések,
Fotósok, vásárlók, a fényképezett személyek, az árukat átvevő személyek vagy más érintett felek, amennyiben ez szükséges egy konkrét eset, galéria, vásárlás, megállapodás vagy bizonyítéknyújtás végrehajtásához,
Adótanácsadók, jogi tanácsadók, bankok, hatóságok vagy egyéb szervek, amennyiben ez szükséges egy szerződés teljesítéséhez, jogi jogok érvényesítéséhez vagy jogi kötelezettségek teljesítéséhez.

17. Adatátvitel harmadik országokba

Amennyiben az AWS, az AWS SES, a Stripe vagy más igénybe vett szolgáltatások használata során személyes adatok kerülnek továbbításra az Európai Gazdasági Térség (EGT) területén kívüli országokba, ez kizárólag a GDPR 44. cikke és az azt követő cikkek követelményeinek megfelelően történik, pl. megfelelő biztosítékok, például általános szerződési feltételek, és/vagy egyéb elismert védelmi mechanizmusok alapján történik.

18. Megőrzési idő és archiválás

A személyes adatokat csak addig dolgozzuk fel és tároljuk, amíg az a megfelelő célokhoz szükséges, vagy amíg törvényi megőrzési kötelezettségek vonatkoznak rájuk. Ezt követően az adatokat töröljük, anonimizáljuk, vagy az azok állapotának és céljának megfelelő archív státuszba helyezzük át.

A következő rendelkezések különösen a Contrima-ra vonatkoznak:

A szerver- és biztonsági naplókat általában csak addig tároljuk, amíg az a biztonság, a hibaanalízis és a visszaélések megelőzése érdekében szükséges.
A fiókadatokat, a fotós profilokat, a számla- és eladói adatokat általában a szerződéses kapcsolat időtartama alatt és azon túl is tároljuk, amennyiben ez a törvényes megőrzési kötelezettségek, a jogi védelem vagy a bizonyítás céljából szükséges.
A követeléseket, hozzáférési, galéria-, hozzájárulási, licenc- és vásárlási adatokat az ügy kezeléséhez, dokumentálásához, ellenőrizhetőségéhez, jogi védelemhez és a jogi kötelezettségek teljesítéséhez szükséges ideig tároljuk.
A feltöltött eredeti képeket általában a végleges aktív ügyek esetében az utolsó jelentős tevékenységtől számított legfeljebb 90 napig tároljuk aktív tárolóban, majd ezt követően átvisszük egy nem nyilvános archívumba.
A vázlatok, tesztesetek vagy más, még nem lezárt ügyek a vonatkozó termékstátusnak vagy díjszabásnak megfelelően törölhetők.
Az archivált eredeti adatok határozatlan ideig tárolhatók az AWS infrastruktúráján belüli, nem nyilvános archív tárolási osztályokban, beleértve az AWS S3 Glacier Deep Archive-ot is, feltéve, hogy nincs jogi vagy szerződéses alap a törlésre.
Az ellenőrzési, megállapodási, audit-, miniatűr-, ujjlenyomat-, hash-, számlázási és egyéb dokumentációs adatok hosszabb ideig vagy külön tárolhatók, függetlenül az eredeti képek aktív elérhetőségétől.

A Deep Archive tárolási osztályokban archivált objektumok nem nyilvánosan hozzáférhetők; és általában nem érhetők el valós időben; az újbóli hozzáféréshez külön visszaállítási folyamatra lehet szükség.

19. Az Ön jogai

A jogi követelmények keretein belül Önnek különösen a következő jogai vannak:

Hozzáférési jog (GDPR 15. cikk),
Helyesbítési jog (GDPR 16. cikk),
Törléshez való jog (GDPR 17. cikk),
Az adatkezelés korlátozásához való jog (GDPR 18. cikk),
Adathordozhatósághoz való jog (GDPR 20. cikk),
A GDPR 6. cikke (1) bekezdésének f) pontja alapján történő adatkezelés elleni tiltakozás joga (GDPR 21. cikk),
A hozzájárulás bármikor, a jövőre nézve hatályos visszavonásának joga.

20. Panasztételi jog a felügyeleti hatóságnál

Önnek joga van panaszt benyújtani egy adatvédelmi felügyeleti hatósághoz, különösen a szokásos tartózkodási helye szerinti tagállamban, a munkahelye szerinti tagállamban vagy az állítólagos jogsértés helye szerinti tagállamban. Székhelyünk illetékes hatósága:

Baden-Württemberg állami adatvédelmi és információszabadsági biztos (LfDI BW)
Postafiók 10 29 32
70025 Stuttgart
E-mail: poststelle@lfdi.bwl.de
Weboldal: baden-wuerttemberg.datenschutz.de

21. A jelen adatvédelmi irányelv módosításai

Jelen adatvédelmi nyilatkozatot módosíthatjuk, ha a jogi helyzet, a szolgáltatások, a fizetési szolgáltatások, a tárolási és archiválási eljárások vagy az adatkezelési gyakorlat megváltozik. A jelen oldalon bármely időpontban közzétett változat az irányadó.

22. Adatmegadási kötelezettség

Általában nem köteles személyes adatokat megadni pusztán azért, mert tájékozódási célból látogatja a weboldalt. Azonban, ha hozzáférési pontot vagy galériát használ, nyilatkozatot nyújt be, vásárlást hajt végre vagy eladói/kifizetési funkciókat aktivál, bizonyos adatokra van szükség a vonatkozó szolgáltatás nyújtásához, a tranzakció feldolgozásához, a fizetések kezeléséhez, a kifizetések teljesítéséhez vagy a jogi kötelezettségek teljesítéséhez.

23. Nincs teljesen automatizált döntéshozatal

Teljesen automatizált döntéshozatal, beleértve a GDPR 22. cikke értelmében vett profilalkotást, jelenleg nem történik. A biztonsági, csalásellenes, kockázatkezelési vagy megfelelési mechanizmusok azonban azt eredményezhetik, hogy a hozzáférés, a feltöltések, a közzétételek, a fizetések vagy a kifizetések ideiglenesen korlátozásra kerülnek, és azt követően manuálisan ellenőrzésre kerülnek.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.